Malwarebytes & Dr.Web CureIt ничего не находят. Помогите
Безымянный.png
Безымянный.png
А еще пытается открыть - bodelen . com / 2lwlh385os . com / f.top4top . net / pushwhy . com / pushname . com
Malwarebytes & Dr.Web CureIt ничего не находят. Помогите
Безымянный.png
Безымянный.png
А еще пытается открыть - bodelen . com / 2lwlh385os . com / f.top4top . net / pushwhy . com / pushname . com
Последний раз редактировалось Hayzoom; 22.01.2019 в 14:16. Причина: Добавил логи
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Hayzoom, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Не после установки Tencent Gaming Buddy началось?
Сделайте лог Malwarebytes AdwCleaner.
WBR,
Vadim
Да нет, после установки много времени прошло, а началось это только вчера-позавчера.
- - - - -Добавлено - - - - -
Malwarebytes что-то нашел
Удалите только в Malwarebytes, проверьте.
WBR,
Vadim
Не исчезла проблема, всё так-же
Пока могу сказать следующее - Malwarebytes крайне щепетилен к сетевому трафику, и часто бьёт тревогу даже при обращениях к безобидным доменам
work.a-poster.info содержит в т. ч. списки прокси, к которым обращаются некоторые SEOшные программы, ничего такого нет?
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Да нет, SEO-шных программ точно нету, Wиндоус недавно ставился и в принципе чист от лишнего софта(я так думаю)
Я ничего не вижу подозрительного. Если кроме предупреждений Malwarebytes никак не проявляется - я бы не беспокоился.
WBR,
Vadim
А может из-за так называемой слежки Windows 10?
Почти каждую минуту всплывает окошко о блокировке.
Последний раз редактировалось Hayzoom; 23.01.2019 в 22:09.
Windows сливает на сайты Microsoft.
Отключите на время защиту, проверьте, будут другие проявления: реклама, всплывающие окна?
WBR,
Vadim
Спустя 5 минут после отключения защиты
Значит, будем копать глубже.
Удалите всё найденное в Malwarebytes.
Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
WBR,
Vadim
Что-то очень странное дело это
- - - - -Добавлено - - - - -
Еще раз отключил защиту, проследил за сетевой активностью и из подозрительного нашел Amazon Web Services который работает как раз через svchost
Безымянный.png
Последний раз редактировалось Hayzoom; 24.01.2019 в 10:53.
Похоже, началось с этого:Этот файл удалён уже?Date: 2019-01-23 16:16:42.565
Description:
Антивирусная программа "Защитник Windows" обнаружил вредоносные или иные потенциально нежелательные программы.
Дополнительные сведения см. в:
https://go.microsoft.com/fwlink/?lin...0&enterprise=0
Имя: Trojan:Win32/Occamy.C
ИД: 2147726780
Важность: Критический
Категория: Троян
Путь: file:_E:\Downloads\Spintires.MudRunner.The.Ridge-CODEX\setup.exe; process:_pid:7244,ProcessStart:131927154431325085
Происхождение обнаружения: Локальный компьютер
Тип обнаружения: FastPath
Источник обнаружения: Система
Пользователь: NT AUTHORITY\СИСТЕМА
Имя процесса: E:\Downloads\Spintires.MudRunner.The.Ridge-CODEX\setup.exe
Версия сигнатуры: AV: 1.273.933.0, AS: 1.273.933.0, NIS: 1.273.933.0
Версия модуля: AM: 1.1.15600.4, NIS: 1.1.15600.4
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
Если не влезет во вложения, загрузите в доступное облачное хранилище или на файлообменник и дайте ссылку.
WBR,
Vadim
Да Malwarebytes сразу его удалил, да и качался этот файл уже после появления проблемы.
https://yadi.sk/d/8CyJx2eTHkA88Q
- - - - -Добавлено - - - - -
Еще заметил что порт исходящего подключения на work.a-poster . info постоянно меняется.
Руткит работает, ни TDSSKiller, ни Dr. Web CureIt!, ни Malwarebytes его не видят.(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSWOW64\SVCHOST.EXE [6688], tid=2752
Есть загрузочный LiveCD/LiveUSB c Windows?
WBR,
Vadim
Да, есть флешка с которой устанавливалась система.
Нужна не установочная, а именно чтобы сразу с неё система грузилась.
Тогда попробуйте с Kaspersky Rescue Disk 18 пролечиться.
WBR,
Vadim
Поставил Kaspersky Rescue Disk 18, загрузился с него, просканировал и ничего не нашел.
Уважаемый(ая) Hayzoom, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
